[QRS]

Audit account logon events - только нужно мониторить все контроллеры домена.

PS: Если Вы опишете задачу, которая перед Вами стоит, то, возможно, Вам смогут порекомендовать конкретное решение.

[FreedomF2000]

Ну на данном этапе пока разобрался что для авторизации лучше всего обрабатывать событие 672 что благополучно и делаю.
Теперь пытаюсь определиться с с событием выхода из системы. Задача следующая: на КД необходимо написать перехватчик авторизаций который будет запрашивать из сообщения об успешной авторизации логин пользователя а по нему определять список групп в которые входит пользователь. По выходу будет передавать в определенный скрипт логин пользователя и параметр logout.

[Delirium]

в групповую политику два скрипта - на вход в систему и выход из системы. В скриптах прописать запись какого либо текста куда либо(например, запись "%username% log on to @computername% at %time%" - и кидать эти логи в файл \\server\share\%username%.txt. Вот и простейший мониторинг входа-выхода.

[FreedomF2000]

Цитата:

в групповую политику два скрипта - на вход в систему и выход из системы. В скриптах прописать запись какого либо текста куда либо(например, запись "%username% log on to @computername% at %time%" - и кидать эти логи в файл \\server\share\%username%.txt. Вот и простейший мониторинг входа-выхода.

Хм... так делал(раньше так и работало), только задача стоит перехватывать именно на контроллере домена и никаких сценариев входа/выхода из системы. ((((( Со входом вроде разобрался... до выхода пока руки не дошли как доберусь отпишусь в теме, может еще кто дельного чего предложит...

[Delirium]

Если знаком с программированием, то можно написать мааалюсенькую программку, которая при закрытии будет писать в лог данные. Программу можно будет кинуть в автозагрузку. на C# примерно так:

Код:

private void Form1_Closing(object sender, EventArgs e)
{
File.Write(@"C:\logout.txt", "some text", true);
}

Когда будет выключаться машина или выходить из системы, код сработает и запишет, что надо.

[QRS]

FreedomF2000, а если пользователи выдернул сетевой провод из компьютера?! - получилось, что компьютер работал пока билет Kerberosa валиден... а то и круглосуточная работа намечается

PS: Вы зачем вообще такое делаете? - мониторите работу пользователей? Если да - то лучше это делать на рабочей станции, а не на контроллере домена. Ведь мониторинг контроллера в основном позволяет глобально решать вопросы безопасности (аудит доступа к учетной записи) + аудит получения прав доступа (билета доступа) на другие сервера...

[FreedomF2000]

Цитата:

FreedomF2000, а если пользователи выдернул сетевой провод из компьютера?! - получилось, что компьютер работал пока билет Kerberosa валиден... а то и круглосуточная работа намечается PS: Вы зачем вообще такое делаете? - мониторите работу пользователей? Если да - то лучше это делать на рабочей станции, а не на контроллере домена. Ведь мониторинг контроллера в основном позволяет глобально решать вопросы безопасности (аудит доступа к учетной записи) + аудит получения прав доступа (билета доступа) на другие сервера...

Да я бы такого никогда не делал но начальство оно и в африке начальство... Половина софта написана нашими программистами и проходит авторизацию через VPN. Внедрение новой системы управления требует ввести домен и отказатся от VPN. Но для работы программ необходима авторизации... Вот задачу и поставили... Короче задачу усложнили до того что событие обработки журналов должно происходить только при авторизации пользователя а не по таймеру. Короче использовать перехват API функций системной службы Windows. В общем до понедельника задача снята... Всем спасибо....

[KznDarwin]

Цитата Delirium:

в групповую политику два скрипта - на вход в систему и выход из системы. В скриптах прописать запись какого либо текста куда либо(например, запись "%username% log on to @computername% at %time%" - и кидать эти логи в файл \\server\share\%username%.txt. Вот и простейший мониторинг входа-выхода. »

То есть скрипт должен выглядеть так:

Код:

echo %username% log on to @computername% at %date% %time% >> \\server\share\%username%.txt

?
В расширении .bat его добавлять в автозагрузку/выход из системы?
Права на папку \\server\share\ у пользователей должны быть полные или хватит системы?

[Iska]

Цитата KznDarwin:

Права на папку \\server\share\ у пользователей должны быть полные или хватит системы? »

У пользователей должны быть как минимум права на создание и запись в файл. «Система» — для другого раздела GP (запуск/завершение работы).